SophosLabs ha descubierto en el Play Market de Google una serie de aplicaciones de Android cuyo único objetivo parece ser sobrecargar a los usuarios con aplicaciones móviles que ofrecen una funcionalidad muy simple disponible en aplicaciones de bajo costo o gratuitas.
Los desarrolladores de aplicaciones aprovechan un modelo de negocio disponible dentro del ecosistema Play Market en el que los usuarios pueden descargar y usar las aplicaciones sin cargo durante un breve período de prueba. Cuando caduca la prueba, si el usuario no ha desinstalado la aplicación e informado al desarrollador que no desea continuar utilizando la aplicación, el desarrollador cobra al usuario.
En el caso de una aplicación normal, esto podría costar solo unos pocos dólares, pero los editores o desarrolladores de las aplicaciones descritas en esta publicación habitualmente cobran a los usuarios cientos de dólares (o euros, dependiendo de la región geográfica en la que resida el usuario).
Las aplicaciones en sí no parecen ser maliciosas ni contienen código malicioso. Algunas de estas aplicaciones pueden incluso tener funcionalidades útiles (aunque redundantes). Sin embargo, es difícil imaginar que cualquier persona a la que se le cobre cientos de dólares por un simple lector de código de barras o un filtro de fotos lo considere justo.
Debido a que estas aplicaciones existen en una zona gris que no es abiertamente malware y no es una aplicación potencialmente no deseada (PUA), hemos acuñado el término fleeceware, porque su característica definitoria es que cobran de más a los usuarios por funcionalidades que están disponibles en aplicaciones gratuitas o de bajo costo.
Nos pusimos en contacto con representantes de Play Market de Google para averiguar si los términos y condiciones bajo los cuales se venden estas aplicaciones violan alguna de las políticas públicas o internas de Google.
No hemos recibido una respuesta de los representantes de Google sobre si las suscripciones mensuales de alto valor a aplicaciones con funciones muy básicas violan sus políticas de compra de la aplicación. La semana pasada, después de que Sophos les llamó la atención sobre este comportamiento de compra y envió una lista de 15 aplicaciones dedicadas a esta práctica, un representante de Google nos dijo que la compañía había decidido retirar algunas de su tienda. Según nuestro recuento, se han eliminado 14 de las 15 aplicaciones que informamos a Google. Una búsqueda posterior reveló otro lote de aplicaciones, con un recuento de descargas aún mayor que el primero, todavía está disponible en Play Market.
Alentamos a Google para endurezca sus políticas que, actualmente, no prohíben explícitamente a los desarrolladores de aplicaciones aprovechar esta opción de compra en la aplicación. Los clientes que experimentan el remordimiento del comprador pueden no tener ningún recurso para solicitar reembolsos después de unos días. Si no está monitoreando muy activamente su tarjeta de crédito para cargos como este, es posible que no se dé cuenta hasta que se cierre la ventana de reembolso.
El modelo de negocio fleeceware
Debido a que las aplicaciones en sí mismas no participan en ningún tipo de actividad tradicionalmente maliciosa, eluden las reglas que de otro modo facilitarían a Google justificar su eliminación de Play Market. Sus desarrolladores también parecen ser muy buenos para mantenerse bajo el radar de los proveedores de seguridad. Aun así, hay otras características de estas aplicaciones que las hacen menos deseables.
Estas aplicaciones son, fundamentalmente, simples. Hemos observado herramientas como lectores de códigos de barras o QR, calculadoras, herramientas para hacer GIF animados o editores de fotos. En la mayoría de los casos, existen alternativas gratuitas de proveedores bien conocidos que ya están disponibles en Play Market.
Cuando se ejecuta cualquiera de estas aplicaciones, la aplicación solicita al usuario que se registre por un período de prueba gratuito muy corto, generalmente 3 días, a través de una interfaz dentro de la aplicación. Los creadores de la aplicación requieren que se registre con información de pago antes de poder ejecutar la aplicación, y muchos usuarios no entienden el requisito de que, para abandonar la versión de prueba, tienen que decirle explícitamente al desarrollador que están cancelando la versión de prueba.
Muchos simplemente se olvidan de hacerlo, o piensan que desinstalar la aplicación constituye una cancelación. Pero los desarrolladores de la aplicación no lo ven así.
En muchos comentarios de aplicaciones de fleeceware, los usuarios informan que no pudieron darse de baja del período de prueba y se les cobraron cantidades muy importantes de dinero. En el caso de una aplicación de lector de código QR, el desarrollador cobra a los usuarios 104,99 € después de 72 horas. Los creadores de una aplicación llamada Professional GIF Maker cobran a los usuarios 214,99 € cuando finaliza el período de prueba. No hemos visto aplicaciones que cobren tanto por el mismo servicio antes.
Es un modelo de negocio que se mueve en una fina línea ética, pero aparentemente tiene éxito. Algún porcentaje de usuarios no podrá cancelar la versión de prueba, incluso si tienen la intención de hacerlo, y los creadores de la aplicación se ganan el dinero gracias a los usuarios que olvidan darse de baja.
Con millones de instalaciones, en algunos casos, si incluso un pequeño porcentaje de usuarios olvida cancelar su suscripción antes de que caduque el período de prueba, los creadores de aplicaciones pueden ganar mucho dinero.
Los usuarios de la aplicación reciben notificaciones del período de prueba como la siguiente cuando ejecutan las aplicaciones que participan en esta práctica por primera vez. Las personas que se registran para la prueba deben proporcionar información de pago la primera vez que inician la aplicación utilizando los pagos integrados en la aplicación de Google.
Por supuesto, pueden “cancelar en cualquier momento”, pero esto es un poco más caro que, por ejemplo, una suscripción típica de una revista. Una vez que se le ha cobrado, casi no hay ningún recurso para recuperar su dinero. Google Play Market realmente permite este tipo de transacciones porque siguen las reglas para compras en la aplicación. Si bien son claramente hostiles para el consumidor, las aplicaciones no son maliciosas y, de hecho, realizan la función que dicen poder realizar.
Si bien los consumidores son libres de comprar lo que quieran, no creemos que una aplicación que genera una imagen GIF animado deba costar cientos de euros o dólares. Y en algunos casos, el desarrollador no les cobrará a esos usuarios solo una vez: varias de estas aplicaciones fleeceware informan a los usuarios que se les cobrará cada mes hasta que el usuario cancele su suscripción.
| Nombre | Descargas | Precio (tras el period de prueba) |
| qr.code.barcode.maker.scanner.reader | 5,000,000+ | €104.99 |
| faceapp.facemystery.learnmoreaboutyourself | 10,000,000+ | €104.99 |
| com.recorder.video.magic.capture.gameplay | 5,000,000+ | €104.99 |
| com.ally.video.recorder | 5,000+ | €114.99 |
| com.pey.old.me.face.aging | 50,000+ | €104.99 |
| com.gifmaker.giffree.gifeditor | 5,000+ | €219.99 |
| com.hidephotovideo.calculatorphotovault | 1,000+ | €104.99 |
| com.compasspro.gpscoordinates | 10,000+ | €219.99 |
| com.searchbyimage.reverseimagesearch | 10,000+ | €219.99 |
| Total | 20,081,000 (estimado) |
Este es un desglose de algunas de las aplicaciones de fleeceware que identificamos en el Play Market de Google. Como mencionamos anteriormente, los representantes de Google retiraron posteriormente del Play Market otras 14 aplicaciones que se dedicaban a una práctica comercial similar después de que preguntamos sobre el modelo comercial. Las que se enumeran a continuación todavía están disponibles, por lo que nos hemos abstenido de vincularlos directamente.
El descontento de los usuarios
Según las reseñas en la tienda Play Market, está claro que muchos usuarios que instalaron estas aplicaciones y que posteriormente se les cobraron tarifas exorbitantes están comprensiblemente furiosos. Los usuarios indicaron que se les cobraron diferentes cantidades según su región geográfica. Algunas personas le piden a Google que elimine estas aplicaciones y otras quieren obtener un reembolso.
Google objeto las quejas
Google vigila las aplicaciones que se publican en su tienda en línea por fraude y actividad maliciosa. Pero estas aplicaciones evadieron la atención de Google al mantenerse al borde de la legalidad y explotaron el hecho de que la mayoría de las personas no leen la letra pequeña.
Peor aún, estas aplicaciones ni siquiera son particularmente buenas, únicas o efectivas. Los editores que participan en esta práctica comercial solo ofrecen sus versiones de aplicaciones que son ampliamente utilizadas y que ya existen (en algunos casos, de forma gratuita) de proveedores mucho más acreditados. Por ejemplo, Sophos también tiene un lector de códigos QR en nuestra aplicación de seguridad Sophos Mobile.
Herramientas como estas son ciertamente útiles, pero no al precio de cientos de dólares (o euros) al mes. Si alguna vez hubo un momento para decirlo, ¡advierta al comprador!
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario